Die Zahl gestohlener Login-Daten hat einen neuen Rekord erreicht: Fast 2,9 Milliarden kompromittierte Zugangsdaten haben Sicherheitsforscher im vergangenen Jahr aufgespürt. Das berichtet der Threat-Intelligence-Spezialist KELA in seinem aktuellen Lagebericht zur Cyberkriminalität. Der Report zeichnet ein düsteres Bild: Angreifer setzen zunehmend auf gestohlene Identitäten, um traditionelle Sicherheitsbarrieren zu umgehen. Künstliche Intelligenz und raffinierte Schadsoftware haben den Diebstahl von Zugangsdaten industrialisiert – der menschliche Faktor wird zur größten Sicherheitslücke moderner Unternehmen.
Die 2,86 Milliarden weltweit erfassten Zugangsdaten stammen aus unterschiedlichen Quellen: Cyberkriminalitäts-Marktplätze, geleakte E-Mail-Archive und Login-Listen aus kompromittierten URLs. Besonders alarmierend: Rund 347 Millionen dieser Datensätze stammen von etwa 3,9 Millionen Rechnern, die mit sogenannten Infostealern infiziert waren. Diese Schadsoftware arbeitet heimlich im Hintergrund, stiehlt Browser-Cookies, Sitzungstoken und Authentifizierungsdaten – ohne dass der Nutzer etwas davon merkt.
Da Angreifer vermehrt mobile Identitäten und Zugangsdaten ins Visier nehmen, ist ein umfassender Schutz des eigenen Geräts unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Hacker-Angriffe auf Ihr Smartphone effektiv abwehren und sensible Daten schützen. 5 Schutzmaßnahmen jetzt entdecken
Infostealer auf dem Vormarsch: Auch Apple-Nutzer im Visier
Ein neuer Trend bereitet Sicherheitsexperten besondere Sorgen: der zunehmende Angriff auf Apple-Geräte. Während Windows weiterhin das Hauptziel bleibt, schnellten die Infektionen auf macOS-Systemen von unter 1.000 im Jahr 2024 auf über 70.000 im Jahr 2025 hoch. Die führenden Schadsoftware-Familien heißen Lumma, Redline und Vidar – Lumma allein ist für 55 Prozent aller beobachteten Infektionen verantwortlich.
Der wirtschaftliche Schaden ist enorm. Laut IBM belaufen sich die durchschnittlichen Kosten einer Datenpanne mit gestohlenen Zugangsdaten auf 4,67 Millionen US-Dollar pro Vorfall. Die Erkennung dauert im Schnitt 246 Tage. Die Botschaft der Experten ist klar: Moderne Angreifer hacken sich nicht mehr in Systeme – sie loggen sich einfach mit gestohlenen, aber gültigen Accounts ein.
Lieferketten als Einfallstor: Vercel und Bitwarden betroffen
Die Verwundbarkeit der Software-Lieferkette hat sich zu einem Haupttreiber für massenhafte Zugangsdaten-Diebstähle entwickelt. Ende April 2026 meldete der Cloud-Anbieter Vercel einen Sicherheitsvorfall, der die Risiken von Drittanbieter-Integrationen eindrucksvoll demonstrierte. Auslöser war die Kompromittierung eines Mitarbeiters von Context.ai, einem KI-Tool-Anbieter, der sich mit dem Lumma-Infostealer infiziert hatte.
Die Angreifer nutzten gestohlene Google-Workspace-OAuth-Token, um in Vercels interne Systeme einzudringen. Dort konnten sie nicht-sensitive Umgebungsvariablen entschlüsseln, darunter API-Schlüssel und Datenbank-Zugangsdaten. Der Vorfall zeigt, wie Vertrauensbeziehungen in OAuth-Systemen gegen traditionelle Perimeter-Sicherheit eingesetzt werden können.
Ähnliche Risiken wurden in der Entwickler-Community identifiziert. Der Passwort-Manager Bitwarden meldete die Verbreitung eines schädlichen Pakets über den npm-Auslieferungsweg seiner Kommandozeilen-Schnittstelle. Die Untersuchung ergab, dass die Kompromittierung eines einzigen Entwickler-Tokens ausreichte, um dauerhaften Zugriff auf CI/CD-Pipelines zu erhalten.
Angriffswelle auf Unterhaltung und Einzelhandel
Die Unterhaltungs- und Einzelhandelsbranche erlebt derzeit eine wahre Flut von Angriffen auf Zugangsdaten. Das Trusted Partner Network (TPN) der Motion Picture Association veröffentlichte am 28. April 2026 seinen STAR-Report. Das Ergebnis: Allein im ersten Quartal 2026 gab es mehr Sicherheitswarnungen als im gesamten Vorjahr. Die Schwachstellen sind systemisch: inkonsistente Zwei-Faktor-Authentifizierung und kompromittierte Zugangsdaten in stark verteilten Produktionsumgebungen.
Im Einzelhandel bestätigte der Kosmetikriese Rituals eine massive Datenpanne, von der bis zu 41 Millionen Kunden betroffen sein könnten. Namen, Geburtsdaten und Kontaktdaten wurden abgegriffen.
Angesichts von Milliarden kompromittierten Logins suchen Experten nach Lösungen, die klassische Passwörter als Sicherheitsrisiko überflüssig machen. In diesem kostenlosen Report erfahren Sie, wie Sie die neue Passkey-Technologie für Ihre Online-Konten nutzen und Hacker-Angriffen keine Chance mehr lassen. Passwort-Stress dauerhaft beenden
Parallel dazu meldete der Kreuzfahrtriese Carnival Corporation einen Ransomware-Angriff auf seine Tochter Holland America Line, bei dem 8,7 Millionen Datensätze gestohlen wurden. Verantwortlich ist die Gruppe ShinyHunters, die bereits mehr als 40 Organisationen weltweit angegriffen hat.
Auch die Bildungsbranche ist betroffen: ShinyHunters behauptet, 1,4 Millionen Nutzerdatensätze von der Online-Lernplattform Udemy gestohlen zu haben. Diese massiven Datensammlungen liefern den Stoff für Folgeangriffe wie Spear-Phishing und Credential-Stuffing.
KI als Brandbeschleuniger: Der Aufstieg des „Vibe Hacking“
Die Integration künstlicher Intelligenz in die Cyberkriminalität hat die Geschwindigkeit und Raffinesse von Angriffen fundamental verändert. KELAs Forscher beobachten einen Wandel: Angreifer nutzen KI nicht mehr nur als unterstützendes Werkzeug, sondern als wesentlichen Bestandteil der Angriffskette. Eine neue Technik namens Vibe Hacking trickst KI-Assistenten aus, indem sie schädliche Aufgaben als legitime Anfragen tarnt.
Hinzu kommt das Problem der Schatten-KI: Nicht autorisierte KI-Tools, die Mitarbeiter eigenmächtig nutzen, schaffen eine unkontrollierte Anriffsfläche. Werden Zugangsdaten in diese Tools eingegeben, kann dies zu sofortigen Datenlecks führen. Besonders gefährlich: Sind mehrere KI-Agenten miteinander verknüpft, kann ein kompromittierter Agent schädliche Anweisungen an alle verbundenen Systeme weitergeben. Gartner-Analysten haben die Anpassung des Identitäts- und Zugriffsmanagements für KI-Agenten zur Top-Priorität für 2026 erklärt.
Ausblick: Zero Trust als letzte Verteidigungslinie
Die Sicherheitsbranche zieht Konsequenzen. Cloudflare und CrowdStrike berichten übereinstimmend, dass bei etwa 75 Prozent der jüngsten Einbrüche kompromittierte Zugangsdaten oder gültige Konten zum Einsatz kamen – keine Software-Lücken. Diese Erkenntnis zwingt Unternehmen zum Umdenken: Die Härtung von Identitäten steht heute gleichberechtigt neben dem klassischen Patch-Management.
Sicherheitsexperten erwarten, dass das kommende Jahr von der Einführung phishing-resistenter Zwei-Faktor-Authentifizierung und kontinuierlicher Authentifizierungsmodelle geprägt sein wird. Während KI Angreifern erlaubt, ihre Operationen in beispiellosem Tempo zu skalieren, nutzen Verteidiger dieselbe Technologie zur Automatisierung der Bedrohungserkennung. Die Fähigkeit von Organisationen, die Vertrauenslücke zwischen vernetzten KI-Tools und Lieferkettenabhängigkeiten zu schließen, wird über ihre Widerstandsfähigkeit in einer Ära entscheiden, in der der gestohlene Login bereits den Einbruch bedeutet.
